Configuración de ISE para la Integración con un Servidor LDAP

Introducción

Este documento describe cómo configurar Cisco Identity Services Engine (ISE) para la integración con un servidor de protocolo ligero de acceso a directorios (LDAP) de Cisco.

Nota: Este documento es válido para configuraciones que utilizan LDAP como origen de identidad externo para la autenticación y autorización de ISE.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en estas versiones de software y hardware:

• Cisco ISE versión 1.3 con parche 2
  
  
• Microsoft Windows versión 7 x64 con OpenLDAP instalado
  
  
• Controlador de LAN inalámbrica de Cisco (WLC) versión 8.0.100.0
  
  
• Cisco AnyConnect versión 3.1 para Microsoft Windows
  
  
• Editor de perfiles del administrador de acceso de red de Cisco

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

Estos métodos de autenticación son compatibles con LDAP:

• Protocolo de autenticación extensible (Extensible Authentication Protocol) €  “ Generic Token Card (EAP-GTC)
  
  
• Protocolo de autenticación extensible (Extensible Authentication Protocol, Extensible Authentication Protocol) € Seguridad de la capa de transporte (EAP-TLS)
  
  
• Protocolo de autenticación extensible protegido €  “ seguridad de la capa de transporte (PEAP-TLS)

Configurar

Esta sección describe cómo configurar los dispositivos de red e integrar el ISE con un servidor LDAP.

Diagrama de la red

En este ejemplo de configuración, el terminal utiliza un adaptador inalámbrico para asociarse a la red inalámbrica. La LAN inalámbrica (WLAN) en el WLC se configura para autenticar a los usuarios a través del ISE. En el ISE, LDAP se configura como almacén de identidad externo.

Esta imagen ilustra la topología de red que se utiliza:

Configurar OpenLDAP

La instalación de OpenLDAP para Microsoft Windows se completa a través de la GUI, y es sencilla. La ubicación predeterminada es C: > OpenLDAP. Después de la instalación, debería ver este directorio:

Tenga en cuenta dos directorios en particular:

• ClientTools ⠀  “ Este directorio incluye un conjunto de binarios que se utilizan para editar la base de datos LDAP.
  
  
• ldifdata ⠀  “ Ésta es la ubicación en la que debe almacenar los archivos con objetos LDAP.

Agregue esta estructura a la base de datos LDAP:

En el directorio raíz, debe configurar dos unidades organizativas (OU). El OU=groups OU debe tener un grupo secundario (cn=domainusers en este ejemplo). El OU=people OU define las dos cuentas de usuario que pertenecen al grupo cn=domainusers.

Para rellenar la base de datos, debe crear el archivo ldif primero. La estructura mencionada anteriormente se creó a partir de este archivo:

dn: ou=groups,dc=maxcrc,dc=com
changetype: add
ou: groups
description: All groups in organisation
objectclass: organizationalunit

dn: ou=people,dc=maxcrc,dc=com
changetype: add
ou: people
description: All people in organisation
objectclass: organizationalunit

dn: uid=john.doe,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: john.doe
givenName: John
sn: Doe
cn: John Doe
mail: john.doe@example.com
userPassword: password

dn: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: jan.kowalski
givenName: Jan
sn: Kowalski
cn: Jan Kowalski
mail: jan.kowalski@example.com
userPassword: password

dn: cn=domainusers,ou=groups,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: posixGroup
gidNumber: 678
memberUid: uid=john.doe,ou=people,dc=maxcrc,dc=com
memberUid: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com

Para agregar los objetos a la base de datos LDAP, puede utilizar el binario ldapModify:

C:\OpenLDAP\ClientTools>ldapmodify.exe -a -x -h localhost -p 389 -D "cn=Manager,
dc=maxcrc,dc=com" -w secret -f C:\OpenLDAP\ldifdata\test.ldif
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 496
ldap_prepare_socket: 496
ldap_connect_to_host: Trying ::1 389
ldap_pvt_connect: fd: 496 tm: -1 async: 0
attempting to connect:
connect success
adding new entry "ou=groups,dc=maxcrc,dc=com"

adding new entry "ou=people,dc=maxcrc,dc=com"

adding new entry "uid=john.doe,ou=people,dc=maxcrc,dc=com"

adding new entry "uid=jan.kowalski,ou=people,dc=maxcrc,dc=com"

adding new entry "cn=domainusers,ou=groups,dc=maxcrc,dc=com"

Integración de OpenLDAP con ISE

Utilice la información proporcionada en las imágenes a lo largo de esta sección para configurar LDAP como almacén de identidad externo en el ISE.

 

Puede configurar estos atributos desde la pestaña General:

• Subject Object Objectclass ⠀  “ Este campo corresponde a la clase de objeto de las cuentas de usuario en el archivo ldif. Según la configuración LDAP, puede utilizar una de las cuatro clases aquí:
  
  
  • Arriba
    
    
  • Persona
    
    
  • PersonaOrganizativa
    
    
  • InetOrgPerson
    
    
• Subject Name Attribute ⠀  “ Este es el atributo que recupera LDAP cuando el ISE pregunta si un nombre de usuario específico se incluye en una base de datos. En esta situación, debe utilizar john.doe o jan.kowalski como nombre de usuario en el terminal.
  
  
• Group Objectclass ⠀  “ Este campo corresponde a la clase de objeto para un grupo en el archivo ldif. En este escenario, la clase de objeto para el grupo cn=domainusers es posixGroup.
  
  
• Atributo de mapa de grupo ⠀  “ Este atributo define cómo se asignan los usuarios a los grupos. Bajo el grupo cn=domainusers en el archivo ldif, puede ver dos memberUid que corresponden a los usuarios.

ISE también ofrece algunos esquemas preconfigurados (Microsoft Active Directory, Sun, Novell):

Después de establecer la dirección IP correcta y el nombre de dominio administrativo, puede Probar enlace al servidor. En este punto, no debe recuperar ningún asunto o grupo porque las bases de búsqueda todavía no están configuradas.

En la ficha siguiente, puede configurar la base de búsqueda de grupo/asunto. Este es el punto de unión para el ISE al LDAP. Solo puede recuperar temas y grupos que son elementos secundarios de su punto de unión. En este escenario, se recuperan los temas de OU=personas y los grupos de OU=groups:

Desde la pestaña Grupos, puede importar los grupos desde el LDAP en el ISE:

Configurar la WLC

Utilice la información proporcionada en estas imágenes para configurar el WLC para la autenticación 802.1x:

Configuración de EAP-GTC

Uno de los métodos de autenticación soportados para LDAP es EAP-GTC. Está disponible en Cisco AnyConnect, pero debe instalar Network Access Manager Profile Editor para configurar el perfil correctamente. También debe editar la configuración del administrador de acceso de red, que de forma predeterminada se encuentra aquí:

C: > ProgramData > Cisco > Cisco AnyConnect Secure Mobility Client > Network Access Manager > sistema > archivo configuration.xml

Utilice la información proporcionada en estas imágenes para configurar EAP-GTC en el terminal:

Utilice la información proporcionada en estas imágenes para cambiar las políticas de autenticación y autorización en ISE:

Después de aplicar la configuración, debe poder conectarse a la red:

Verificación

Para verificar las configuraciones LDAP e ISE, debe poder recuperar los temas y grupos con una conexión de prueba al servidor:

Estas imágenes ilustran un informe de ejemplo de ISE:

Troubleshoot

Esta sección describe algunos errores comunes encontrados con esta configuración y cómo resolverlos:

• Después de la instalación de OpenLDAP, puede encontrar un error para indicar que falta gssapi.dll. Para eliminar el error, debe reiniciar Microsoft Windows.
  
  
• Puede que no sea posible editar el archivo configuration.xml para Cisco AnyConnect directamente. Guarde la nueva configuración en otra ubicación y utilícela para reemplazar el archivo antiguo.
  
  
• En el informe de autenticación, es posible que vea este mensaje de error:
  

  Authentication method is not supported by any applicable identity store

  Este mensaje de error indica que el método que seleccionó no es compatible con LDAP. Asegúrese de que el protocolo de autenticación del mismo informe muestre uno de los métodos admitidos (EAP-GTC, EAP-TLS o PEAP-TLS).
  
  
• En el informe de autenticación, es posible que observe que el asunto no se ha encontrado en el almacén de identidades. Esto significa que el nombre de usuario del informe no coincide con el atributo de nombre de asunto para ningún usuario de la base de datos LDAP. En este escenario, el valor se estableció en uid para este atributo, lo que significa que el ISE busca los valores uid para el usuario LDAP cuando intenta encontrar una coincidencia.
  
  
• Es posible que los temas y grupos no se recuperen correctamente durante una prueba de enlace al servidor. La causa más probable de este problema es una configuración incorrecta para las bases de búsqueda. Recuerde que la jerarquía LDAP debe especificarse de hoja a raíz y dc (puede constar de varias palabras).

Consejo: Para resolver problemas de autenticación EAP en el lado del WLC, consulte el documento Ejemplo de Configuración de Autenticación EAP con Controladores de WLAN (WLC) de Cisco.